с КлабХаусом вообще весело, начиная от API, разобранного сторонними клиентами, до сайтов, которые начали выкладывать уже разговоры из сервиса. Впрочем, если вся предыдущая история нам о чем-то говорит, то это о том, что пользователям все равно
https://techcrunch.com/2021/02/22/clubhouse-security/?tpcc=ECTW2020
https://www.vice.com/en/article/y3gj5j/android-version-clubhouse
https://www.vice.com/en/article/k7a9nx/this-website-made-clubhouse-conversations-public
https://techcrunch.com/2021/02/22/clubhouse-security/?tpcc=ECTW2020
https://www.vice.com/en/article/y3gj5j/android-version-clubhouse
https://www.vice.com/en/article/k7a9nx/this-website-made-clubhouse-conversations-public
VICE
Devs Hack Together Their Own Clubhouse Android Apps
With no Android version of Clubhouse available, developers are making their own.
Но для разнообразия немного не о клабхаусе. Тут есть какойто странный зловред для Маков с процессором М1, я упоминал его на прошлой неделе. Его название — Silver Sparrow, серебристый воробей (симпатичная птичка). Но фишка такая, что это вредоносное ПО не совсем-то вредоносное, по крайней мере, пока что: оно было обнаружено на более чем 30 тысячах Маков, но у него не хватает одной важной штуки. Эта штука — как раз вредоносная нагрузка, то есть то, что оно должно делать, чтобы быть вредоносным. Исследователи из Red Canary (еще одна красивая птичка) выложили документ с деталями Silver Sparrow, о том, как оно распространяется, и что делает на данный момент. Ну и как можно узнать, установлено ли это ПО у вас уже.
https://redcanary.com/blog/clipping-silver-sparrows-wings/
Самое интересное, что Apple уже отозвала сертификат разработчика, которым был подписан код вредоносного ПО, что предотвращает его работу.
https://www.macrumors.com/2021/02/22/apple-revokes-silver-sparrow-certificates/
сэмпл тут:
Direct Download: https://objective-see.com/downloads/malware/SilverSparrow.zip (pw: infect3d)
https://twitter.com/patrickwardle/status/1363984976182583296/photo/1
https://redcanary.com/blog/clipping-silver-sparrows-wings/
Самое интересное, что Apple уже отозвала сертификат разработчика, которым был подписан код вредоносного ПО, что предотвращает его работу.
https://www.macrumors.com/2021/02/22/apple-revokes-silver-sparrow-certificates/
сэмпл тут:
Direct Download: https://objective-see.com/downloads/malware/SilverSparrow.zip (pw: infect3d)
https://twitter.com/patrickwardle/status/1363984976182583296/photo/1
Red Canary
Silver Sparrow macOS malware with M1 compatibility
Silver Sparrow includes a binary compiled to run on Apple’s new M1 chips but lacks one very important feature: a payload
Forwarded from BBLDK (Dmitry Kiryanov)
Большой список ресурсов для тех, кто хочет начать анализ вредоносных программ для macOS!
https://theevilbit.github.io/posts/getting_started_in_macos_security/
В заголовке скромно указано «5 минут на прочтение», но чёрта с два там 5 минут… Если не знали, чем занять себя в выходные — теперь знаете. 😂😉
Спасибо Thomas Reed за наводку.
https://theevilbit.github.io/posts/getting_started_in_macos_security/
В заголовке скромно указано «5 минут на прочтение», но чёрта с два там 5 минут… Если не знали, чем занять себя в выходные — теперь знаете. 😂😉
Спасибо Thomas Reed за наводку.
Вот даже BBC уже пишет про то, что использование шпионских «пикселей» в почте стало очень массовым. Это обычно картинка 1х1 пиксель, с помощью которой можно узнать, открывалось ли письмо, сколько раз, характеристики машины и примерное местоположение пользователя по IP-адресу. Отключение загрузки изображений в почте по умолчанию позволяет снизить этот риск, но вообще разработчикам почтовых решений было бы полезно подумать о более глобальном подходе к борьбе с этой проблемой
https://www.bbc.com/news/technology-56071437
https://www.bbc.com/news/technology-56071437
«Собственный защищённый мессенджер», разработанный какой-то небольшой компанией. Что может пойти не так?
https://www.rbc.ru/technology_and_media/25/02/2021/6036607a9a7947295d9a9188
https://www.rbc.ru/technology_and_media/25/02/2021/6036607a9a7947295d9a9188
РБК
Мэрия Москвы разработала собственный защищенный мессенджер
Структура Москвы разработала сервис TDM Messenger — «полноценную замену» Telegram и Skype. Он должен обеспечить безопасную коммуникацию в первую очередь между чиновниками. Обычные сервисы редко
Сторонние трекеры в менеджере паролей LastPass, даже если для аналитики, все равно не айс для такого важного приложения, как менеджер паролей. Подключение чужих библиотек, функциональность которых разработчики LastPass не знают, безопасность приложения не улучшают, говорят исследователи
https://reports.exodus-privacy.eu.org/en/reports/165465/
https://www.theregister.com/2021/02/25/lastpass_android_trackers_found/
https://reports.exodus-privacy.eu.org/en/reports/165465/
https://www.theregister.com/2021/02/25/lastpass_android_trackers_found/
The Register
1Password has none, KeePass has none... So why are there seven embedded trackers in the LastPass Android app?
Third-party code in security-critical apps is obviously suboptimal, but company says you can opt out
Данные пользователей сразу трех разных VPN сервисов — SuperVPN, GeckoVPN и ChatVPN - продаются в сети, общим количеством более 21 млн записей, с большим количеством персональной информации, от имейла и имени до серийных номеров устройств.
https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/
В 2020 году этот сервис SuperVPN с более чем 100 млн установок в Google Play уже был из этого самого GP выпилен. В нем тогда были обнаружены существенные уязвимости, позволяющие организовать MiTM атаку, а также перенаправить трафик с серверов компании на другие сервера.
https://www.techradar.com/news/delete-this-vpn-now-millions-of-users-warned
Ох уж эти популярные бесплатные VPN-сервисы…
https://cybernews.com/security/one-of-the-biggest-android-vpns-hacked-data-of-21-million-users-from-3-android-vpns-put-for-sale-online/
В 2020 году этот сервис SuperVPN с более чем 100 млн установок в Google Play уже был из этого самого GP выпилен. В нем тогда были обнаружены существенные уязвимости, позволяющие организовать MiTM атаку, а также перенаправить трафик с серверов компании на другие сервера.
https://www.techradar.com/news/delete-this-vpn-now-millions-of-users-warned
Ох уж эти популярные бесплатные VPN-сервисы…
Cybernews
Best VPN services for 2024
Read this article to learn what’s the best VPN service for your specific needs. We tested numerous providers to uncover the top-quality VPNs in 2024.
На прошлой неделе бывший директор компании SolarWinds, после взлома систем которой произошли взломы большого количества компаний и государственных организаций, выступал в Конгрессе США. Там конгрессмены, собственно, пытались понять «WTF?» и «Кто виноват?».
Конечно же, лучшей защитой для себя бывший директор компании выбрал свалить всю вину на практиканта, который установил себе пароль для FTP-сервера «solarwindws123», который после этого еще и оказался на Github. Интересно, что на самом деле вина именно этого утекшего пароля пока что не доказана, но, как видите, это не мешает назначить виноватым какого-то мелкого козла отпущения, и сделать вид, что все остальное было хорошо.
https://gizmodo.com/solarwinds-officials-throw-intern-under-the-bus-for-so-1846373445
Конечно же, лучшей защитой для себя бывший директор компании выбрал свалить всю вину на практиканта, который установил себе пароль для FTP-сервера «solarwindws123», который после этого еще и оказался на Github. Интересно, что на самом деле вина именно этого утекшего пароля пока что не доказана, но, как видите, это не мешает назначить виноватым какого-то мелкого козла отпущения, и сделать вид, что все остальное было хорошо.
https://gizmodo.com/solarwinds-officials-throw-intern-under-the-bus-for-so-1846373445
Gizmodo
SolarWinds Officials Throw Intern Under the Bus for ‘solarwinds123’ Password Fail
The SolarWinds drama just won’t stop. It’s a tale of Russian hackers’—and potentially Chinese hackers’—alleged email spying, and a gaping hole of security vulnerabilities that seems to get worse as more details come to light. Now, we can add yet another twist…
Небольшая алярма для админов онпрем серверов Exchange: там Microsoft починила сразу 4 уязвимости нулевого дня, которые эксплуатировались предположительно китайскими группировками, поэтому надо срочно обновиться
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Microsoft On the Issues
New nation-state cyberattacks
Today, we’re sharing information about a state-sponsored threat actor identified by the Microsoft Threat Intelligence Center (MSTIC) that we are calling Hafnium. Hafnium operates from China, and this is the first time we’re discussing its activity. It is…
А печально известная авиакомпания Malaysia Airlines рассказывает о том, что её инфраструктура была взломана и подвергалась несанкционированному доступу на протяжении 9 лет. В частности, речь идёт о системе для часто летающих пассажиров Enrich, а утечка случилась для разного рода персональной информации, и данных о полетах
https://www.zdnet.com/article/malaysia-airlines-suffers-data-security-incident-spanning-nine-years/
https://www.zdnet.com/article/malaysia-airlines-suffers-data-security-incident-spanning-nine-years/
ZDNet
Malaysia Airlines suffers data security 'incident' affecting frequent flyer members
Security breach compromises personal data of the airline's frequent flyer programme Enrich, including members' contact details and date of birth registered between March 2010 and June 2019, and reportedly involved a third-party IT service provider.
=== РЕКЛАМА ===
Хотите использовать реверс-инжиниринг в работе?
9 марта на демо-занятии «Эксплуатация уязвимостей в драйвере. Часть 1» вы разберете уязвимости переполнения в драйверах. Преподаватель Артур Пакулов разберет пример классической уязвимости переполнения буфера, уязвимости переполнения целочисленного типа и особенности разработки эксплойтов в режиме ядра.
Демо-занятие — возможность попробовать онлайн-курс «Reverse-Engineering. Basic» и познакомиться с экспертом. Базовый уровень программы познакомит вас с ключевыми возможностями реверс-инжиниринга.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/jYeb/
23 марта вас ждет продолжение демо-занятия «Эксплуатация уязвимостей в драйвере. Часть 2»: https://otus.pw/FwLE/
=== РЕКЛАМА ===
Хотите использовать реверс-инжиниринг в работе?
9 марта на демо-занятии «Эксплуатация уязвимостей в драйвере. Часть 1» вы разберете уязвимости переполнения в драйверах. Преподаватель Артур Пакулов разберет пример классической уязвимости переполнения буфера, уязвимости переполнения целочисленного типа и особенности разработки эксплойтов в режиме ядра.
Демо-занятие — возможность попробовать онлайн-курс «Reverse-Engineering. Basic» и познакомиться с экспертом. Базовый уровень программы познакомит вас с ключевыми возможностями реверс-инжиниринга.
Для регистрации на занятие пройдите вступительный тест: https://otus.pw/jYeb/
23 марта вас ждет продолжение демо-занятия «Эксплуатация уязвимостей в драйвере. Часть 2»: https://otus.pw/FwLE/
=== РЕКЛАМА ===
большие отчеты Microsoft и FireEye о дополнительных вредоносных приложениях, которые были применены после взлома SolarWinds (все время хочется написать SolarWindows).
GoldMax - бэкдор, который использования для выполнения различных команд на взломанных системах (он же SUNSHUTTLE в отчете FireEye)
Sibot — VBScript, который обеспечивал сохранение заражения после перезагрузки хостов
GoldFinger - как я понял, коммуникационный модуль для передачи данных с зараженного хоста на сервер
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
Это все — в дополнение к уже ранее озвученным:
• Sunspot https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
• Solorigate (Sunburst) https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
• Teardrop https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/
• Raindrop https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
GoldMax - бэкдор, который использования для выполнения различных команд на взломанных системах (он же SUNSHUTTLE в отчете FireEye)
Sibot — VBScript, который обеспечивал сохранение заражения после перезагрузки хостов
GoldFinger - как я понял, коммуникационный модуль для передачи данных с зараженного хоста на сервер
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
Это все — в дополнение к уже ранее озвученным:
• Sunspot https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
• Solorigate (Sunburst) https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
• Teardrop https://research.checkpoint.com/2020/sunburst-teardrop-and-the-netsec-new-normal/
• Raindrop https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware
Microsoft News
GoldMax, GoldFinder, and Sibot: Analyzing NOBELIUM’s layered persistence
Microsoft has identified three new pieces of malware being used in late-stage activity by NOBELIUM – the actor behind the SolarWinds attacks, SUNBURST, and TEARDROP.